Nekem elsőnek az jutott eszembe, hogy egy belső hálón levő sebezhető géphez előbb el kell jutni. Tehát betör valaki a routeremre, és át kell mennie a gép tűzfalán is, hogy shellhez jusson. A routerre bejutáskor még fogalma sincs, hogy lesz-e mögötte valami, amin van sebezhető bash.
Illetve gyorsan megnéztem a routert, elérhető rajta shell felület, msh. Az viszont nem bash...
Különben szép cikk, a végén meg jót vigyorogtam 
[ Szerkesztve ]
Ha jól értettem, nem csak a bash elérése veszélyes, hanem olyan scripteké is amit a bash dolgoz fel és pl valamilyen webes rendszerhez (vagy bármi máshoz ami távolról elérhető) kapcsolódnak.
[ Szerkesztve ]
Igaz, de azt is előbb tudni kell, hogy van ott olyan script. Mondjuk a cgi-bin dolgokat eddig sem ajánlotta senki... Azt régóta lehet tudni, hogy aggályosak biztonságilag.
a teljes "mítosz" valóban nem omlott össze, viszont meglátásom szerint erősen megkérdőjeleződött az, hogy előny-e ha bele lehet nézni. a lehetőség hosszú évek óta bárki előtt ott volt, hogy megnézze, auditálja a kódot, csináljon vele amit akar. csak senki nem tette meg. a kérdésem az, hogy mindenki hót biztos abban, hogy mielőtt nyilvános lett ez a hiba, már évekre visszamenőleg senki nem használta ki? a kódba ugyanis bárki belenézhet. és nem mindenki tanulási / fejlesztési céllal teszi.
tudom, sokan nem értenek majd egyet a fenti kijelentésemmel. nem flame indítási céllal tettem, pusztán annyi, h nekem ez a véleményem.
[ Szerkesztve ]
" a kérdésem az, hogy mindenki hót biztos abban, hogy mielőtt nyilvános lett ez a hiba, már évekre visszamenőleg senki nem használta ki?"
Természetesen nem lehetsz biztos benne, de ez nem csak open source dolgokora igaz. Viszont a reagálás sebessége elég gyors volt.
Mondana valaki pár példát routerekre, amelyeken van bash, pláne alapértelmezett shellként?
Én azt gondolom, hogy körülbelül ugyanekkora a lehetősége annak, hogy vállalati szoftverekben (amikbe ugye nem lehet belenézni) szándékosan írnak back-doorokat, amik végső soron ugyanekkora biztonsági rést jelentenek, csak egy bizonyos cég javára.
A Windows 10 adatgyűjtési módszerét vadul ekézték ezen a fórumon is, hogy biztosan bennemarad a végső verzióban is, ha már egyszer impementálták, és örülhetünk ha tényleg csak azokat az infókat gyűjtik, amiket mondanak. Mielőtt elkezdenének anyázni rám, én nem vagyok ennyire paranoiás, és én is szeretnék különbséget tenni a spybotok és a telemetria között, azonban a tény, hogy nincs belelátásunk a kódba hasonló bizalmi/jóhiszeműségi kérdést vet fel a vállalati szereplőkkel szemben, mint ahogy az is, hogy eddig senki nem használta ki a ShellShockot és lapított vele.
(#8) E.Kaufmann beleszólok (#6)
Hát, kis céges PC alapú "routerek"? Amúgy pl erősebb eszközökön, pl egy NAS vagy egy-két 3rd party fw-ben előferdűlhet.
Ok, de azért elég ügyesek a programozók, hogy végigszkenneljék az ilyen hibákat, de nem vagyok nagyon járatos a témában, javítsatok ki, ha nem így lenne.
Lehetőség? KÖTELEZŐ backdoor-t rakni. Legyakták a Truecryptet is, mert a fejlesztő szerint nem fain, használják a win/os X beépített szolgáltatását... 
Szal. az utolsó dolog, amitől félni kell szerintem az ilyen meglelt sebezhetőségek. Ott van előtte a rengeteg beépített backdoor, ott vannak a dolgozók, etc... Amíg úgy hoznak ide gépet, h mindenbe be van jelentkezve, látom a cég könyvelését, mindent... sokkal egyszerűbb az emberek felől megszerezni az adatokat, mint átmenni X gépen, hogy egy lehetséges sebezhetőséget találjon valaki.
+1. És @ViZion is. Ezért keltek ki ott magukból sokan.
Mondjuk ezt legalább tudod előre...
@E.Kaufmann : Biztos lehet, de feltörhetetlen védelem sincs. Elég nehéz bruteforce kitalálni egy cgi script nevét, főleg ha pl. mittoménmi.sh -nak hívják Illetve mi van, ha nincs ilyen az adott site-on?
[ Szerkesztve ]
Jah, meg bruteforce-olni napokig, mikor a jólfizetett szakmunkás, vagy egy kirúgott dolgozó 2 rövidért kiad mindent... ![;]](/dl/s/v1.gif)
rosszabb esetben el kell jutni gizikéig, hogy munkahelyen nyissa meg a selfi.exe-t... nálunk is a sok titkos doksi, meg server, őr, meg kamera... de a legtöbb fájlt, kopipésztelhetném külső vinyóra...
+1. abszolút. az üzemeltetés a lelkét kimelózhatja, ha a CEO vagy valamelyik vezetőnek van egy idiótasága, ami miatt vagy jobb esetben csak whitelistelni kell url-t, rosszabb esetben alá kell vágni az egész confignak.
igen, az r=1 dolgozó a leggyengébb pont, emiatt is inkább őket célozzák az utóbbi időben leginkább, aki vmi infot meg akar szerezni. persze a direkt támadások sem múltak el, de ritkábbak szvsz.
Router alatt a céleszközt értem, mert (remélem) az viszonylag ritka, hogy egy pc alapú routert multifunkcionális eszközként használjanak.
Anno újságnál, ahol dolgoztam, ott a PC boltos, mint szaktanácsadó egy izmos gépet javasolt a titkárnőnek, h az legyen a server is. 
Mondom neeem, izmos gép a tördelőnek, régi vas a titkárnőnek, okos NAS meg a "servernek". Végül így lett, nem értették eleinte, de később, mikor már minden gépről sokadszor volt vírusírtás, etc, de a NAS még hibátlanul üzemelt, akkor kezdték érteni és díjazni, h átalakítottam kicsit a rendszert.
Sajnos ez van, h a helyi PC boltban megkérdezik és amit ott mondanak, az a tuti. Sok KKV-nél erre futja csak. Persze nagy cégeknél, saját infóssal gondolom jobb a helyzet, legalábbis szeretném ezt hinni.
Persze, ilyet én is láttam. De ha routert emlegetnek - pláne ilyen kontextusban -, akkor nekem azok a dobozok jutnak eszembe, amiket kifejezetten routerként árulnak.
Minek? Viszed a céges laptopot, eladod a konkurrenciának a rámásolt mindenfélével jó pénzért...
Bejelented hogy ismeretlen tettes ellopta.
[ Szerkesztve ]
nagy cégnél meg más bajok vannak. pl, h a management mindent sokkal jobban tud, és amikor már 3-4. órája tépjük a szánkat a telefonban, akkor azért tud fogyni a lelkesedés...
Ha jól emlékszem, nem csak MS-ról beszélt a kollega. " vállalati szoftverekben (amikbe ugye nem lehet belenézni) "
[ Szerkesztve ]
senki nem mondta, hogy mindenbe belenéznek és minden hibát megtalálnak és kijavítanak.
de jogod és lehetőséged van rá, ezt mondták.
ez a shellshock "bug" (nem is bug, de mindegy) semmit nem csorbított a nyílt forráskód biztonságáról alkotott hírnéven.
(#19) woland_y2k: "van lehetoseg belenezni a kodba.": súlyos tévedés. itt van lehetőséged belenézni *EGY* kódba, csak abban nem lehetsz biztos, hogy a telepítő cd-den is az van.
[ Szerkesztve ]
Bash, alkoss, gyarapíts: s a haza fényre derül!
De, a ShellShock bizony bug. Még ha az elsőre talált probléma nem is az, mert mondjuk valamilyen könnyebbséget jelentő feature-ként jelent meg, addig a Tavis Ormandy és a többiek által találtak valóban bugok a bash parserben.
"It's not a bug, it's a feature"
Csak az a baj, hogy nem tudom, honnan ered ez a mondás.
(Hogyhogy nem bug??)
a peer review a legolcsobb es egyben leggyengebb minosegellenorzesi technika. kritikus rendszereknel nem veletlenul coverage criteria van (jellemzoen MC/DC, mas terminologia szerint ACC), es nem eleg, hogy par ember atnezi. extremebb esetekben fontosabb reszeket formalisan vagy model checkerrel is bizonyitani lehet.
gyakorlatban test driven development megoldas lehet, de jellemzoen a "teszteljuk a programot" kijelentes jelenteseben hatalmas szoras lehet. ugyanugy utobbi evekben maga a "mennyi coverage eleg" kerdeskor is erdekesebb lett, avagy bizonyos reszei a rendszernek fontosabbak lehetnek. mindent tesztelni pedig lehetetlen.
Nekem a durva, hogy évek óta folyamatosan jönnek a durva alapvető hibák. Nincs vége. Itt a bash sebezhetőség. Aztán a poodle. Aztán...
Mindkettő keményen érinti a leglegnek tartott enterprise szegmenset mégis évek óta velünk voltak és ahogy látom még a ma napon is csillió helyen megy a kapcsolodás SSLel.
és még ha a fentiek nem is lennének hibátlan lenne a kód, a jogosultságok, a minden.... is elgé egy power user és kuka az egész biztonság.
jaja, jönnek folyamatosan a durva alapvető hibák, volt a shellsock, a heartbleed, meg a .... a ...
a pontosan mi is?
évek óta folyamatosan jött kettő hiba idén, és slussz?
+poodle azaz idén 3
és mit akarsz evvel mondani, hogy nem is probléma, kevés ez a 3 vagy mi?
A Poodle is csak az IE6 miatt "jöhetett létre" és igazából nem is annyira jelentős hiba - de ha ma meg kellene bíznom egy céget vmilyen munkával és azt látnám, hogy XP, IE6 és társai futnak a rendszereiken, garantáltan nem lennének befutók.
[ Szerkesztve ]
Ahol Win7et/linuxot és IE11, firefox, chromot látsz az is érintett nem csak IE6.
[ Szerkesztve ]
mármint mert én a poodlet is komoly problémának látom vagyok elfogult? vagy mert azt látom, hogy olyan cégekhez mennek be hoznak ki mindent ahol valós biztonsági szakemberek garmadája dolgozik?
azért vagy elfogult, mert volt az idén kettő (na jó, legyen három) bug, akkor itt mindjárt opensource világvége van meg "évek óta alapvető" meg hasonlók, miközben előtte gyakorlatilag nem volt egy ilyen kaliberű bug sem a linux 23 éve alatt.
oké, hogy ez a két bug komoly probléma, de ettől még nem "évek óta" meg nem durva alapvető hibák.
a shellshock is annyira "durva alapvető" probléma, hogy csak egy csomó egyéb más feltétel teljesülése esetén lehet vele valami részeredményt elérni.
olyan cégekhez mennek be? kik? a pizzafutár? és ezeknél a cégeknél mit használnak? és hányszor mennek be szakképzetlen user hülyesége miatt?
miközben meg aki értően olvassa, amit írsz, és hajlandó emlékezni is, az tudja, hogy durván elfogult vagy a másik irányba, ahol nem az a helyzet, mint itt, hogy 20 év után találtak két bugot, hanem nagyjából minden héten van egy-két ilyen kategóriás bug, és tojnak rá, hogy mindet javítsák, miközben egy kalap pénzt fizettél a termékért.
ha nem nézzük az árakat, meg a bekerülési költséget, akkor lényegesen kevesebb baj van az opensource-szal, mint a zárttal. Ha az árakat is meg a tco-t is nézzük, akkor a másik csapat nagyon durván sehol sincs. amikor nekem kellett volna ms access, akkor az az office, ami ezt tartalmazta volna, kishíjján kétszáz rugó lett volna, és az van a zacsin, hogy semmi felelősséget nem vállalunk érte. Ugyanez debianéknál nulla forint és ekvivalens felelősség.
"opensource világvége"???
Szedd össze már magad.... olyan dolgokat képzelgetsz bele a hszembe ami nincs ott!!! De ha igen mutasd hol. Nos?
ha egymás mellé rakom ezt: "Nekem a durva, hogy évek óta folyamatosan jönnek a durva alapvető hibák. Nincs vége. Itt a bash sebezhetőség. Aztán a poodle. Aztán..." meg amiket egyébként írni szoktál, akkor ottvan.
Már ebből sem jön ki.
poodle uugy érinti a zárt forráskodú világot is ahogy heartbleed is.
"amiket egyébként írni szoktál"
sztem vkivel keversz. Nem is emlékszem mikor írtam utoljára ilyen témában, idén biztos nem és nem is nagyon érdekel. De ha van pár linked szivesen elolvasom miket írtam a témában.
Két gyanudból kettő kuka...?
.....
kb leírtam mi keltette fel a figyelmem. Hiába volt minden hibátlan nem számított. Egy kitartó ATPvel, power user (security officer) megkörnyékezésével bementek. Nem kellett se OS/aplikáció hiba, se poodle, se heartbleed....
és akkor mi van ahol 100ad annyit nem adnak a securityra és 99%ez mert vezetés nem érti minek? Volt is erről egy van benne vmi cikk hwswn. [link]
Nenm, de az IE6 miatt van még mindig benne a szerverekben az elavult SSL 3.0 támogatása, különben már rég kiebrudalták volna az engedélyezett protokollok közül. Nem mellesleg igazán nem értem, hogy hogyan jön az opensource világába a Win7, IEx és a Chrome, mert sokminden elmondható róluk, de hogy az opensource-tól jó messze vannak, az biztos.
"Nem mellesleg igazán nem értem, hogy hogyan jön az opensource világába a Win7, IEx és a Chrome, mert sokminden elmondható róluk, de hogy az opensource-tól jó messze vannak, az biztos."
Oda sehogy. Ellenben ezek is érintettek adott szituban teljesen mindegy, hogy XPt és IE6ot használ vagy chromen/firefoxot.
chrome a chromiumra epul ami egy open source projekt es elegge kozel allnak.
a chrome = chromium + pdf + megvalami aprosag, utobbi ketto closed source. chromium egyebkent letoltheto magaban is, picit eltero a logo meg keresgelni kell a nem chrome varianst az oldalukon, de a ket projekt nagyon ossze van fonodva.
A chrome nem open source, ezt azért szögezzük le.
